Avec des environnements de plus en plus "intelligents" - voitures intelligentes, maisons intelligentes, villes intelligentes - la société fait de plus en plus confiance à ses appareils pour communiquer entre eux. Cette hyperconnectivité apporte des avantages irrésistibles aux fabricants et aux utilisateurs finaux, mais multiplie le nombre de points d'accès pour les cyberattaques, souligne Sylvain Arts, directeur commercial chez Incert, GIE lancé par le gouvernement du Luxembourg en 2012. Dans la course à l'exploitation de la communication d'appareil à appareil, qui est à la base de l'internet des objets (IoT), les organisations adoptent souvent les nouvelles technologies en premier et adaptent la cybersécurité au coup par coup. Le résultat ? Un patchwork de systèmes et de processus de sécurité éparpillés sur l'ensemble de l'empreinte d'une organisation.
Une seule vulnérabilité compromet l'ensemble du réseau de l'entreprise. Pour les fabricants d'équipements d'origine (OEM) appartenant à une chaîne d'approvisionnement plus large, cette surface augmente, compromettant également les partenaires et les produits finaux.
C'est là que réside le cœur de la technologie IoT : si elle permet aux fabricants d'atteindre de nouveaux niveaux d'automatisation, de connaissance des données et d'optimisation, elle permet également à une seule cyberattaque d'atteindre des niveaux de destruction sans précédent.
Risques de cybersécurité dans la « smart » industrie
Pour illustrer l'effet domino du risque, prenons l'exemple des voitures intelligentes. Non seulement leur électronique communique avec le monde extérieur, mais ces véhicules s'appuient également sur des systèmes internes interconnectés en communication constante. Une faiblesse logicielle dans un système d'infodivertissement, par exemple, devient une porte d'entrée vers les autres mécanismes électroniques du véhicule, y compris la transmission, la direction, le GPS et plus encore.
Grâce aux produits de consommation, tels que les dispositifs portables, les smartphones et les services vocaux basés sur le cloud (par exemple Amazon Alexa), les dispositifs connectés sont devenus incontournables. Mais ils sont également actifs en arrière-plan, transformant le mode de fonctionnement des industries. Associés aux progrès de la connectivité à très haut débit et à faible latence, ils ont réinventé les lignes de production et les chaînes d'approvisionnement, donnant naissance à l'industrie 4.0.
Dans la frénésie d'exploiter les avantages concurrentiels de l'industrie 4.0 (vision opérationnelle, prise de décision automatique, optimisation de la chaîne de production, etc.), certains fabricants ont adopté les nouvelles technologies sans se préoccuper correctement de la cybersécurité. Ce faisant, ils ne se mettent pas seulement en danger, mais aussi l'ensemble de la chaîne d'approvisionnement et ses nombreux collaborateurs.
Une faille de sécurité chez un équipementier automobile, par exemple, perturbe les calendriers de production de tous les partenaires tout au long de la chaîne d'approvisionnement, ce qui retarde l'achèvement de l'automobile elle-même - des retards dont l'équipementier peut être tenu pour financièrement responsable.
Des piratages industriels à grande échelle ont paralysé la production, interrompu les salaires et porté atteinte aux marques :
- Clorox : en 2023, une cyberattaque a entraîné une perte au premier trimestre en perturbant les systèmes informatiques, en les mettant hors ligne et en provoquant des interruptions de production.
- Norsk Hydro : ce leader mondial de la fabrication d'aluminium a été victime d'une cyberattaque qui a crypté des parties cruciales de son réseau informatique et affecté des milliers de serveurs. Les pirates informatiques n'ont remis la clé de chiffrement qu'en échange d'une rançon. Norsk Hydro a refusé, acceptant plus de 70 millions de dollars de pertes et passant au papier et au crayon pendant des semaines.
Des objets vulnérables équivalent à des réseaux vulnérables
Les dispositifs IoT conçus sans que la cybersécurité soit au cœur du dispositif peuvent entraîner des failles de sécurité qui font froid dans le dos : en piratant les caméras de sécurité Ring, des inconnus peuvent observer et même parler à des familles à l'intérieur de leur maison. Les moniteurs pour bébés offrent aux pirates le même niveau d'accès, ce qui donne lieu à des comptes rendus tout aussi troublants. Il est important de noter qu'un appareil vulnérable met en danger tous les autres appareils qui partagent le réseau.
Les pirates peuvent utiliser un appareil peu sécurisé pour pénétrer dans le réseau et accéder aux appareils et infrastructures critiques. C'est pourquoi les décideurs de l'industrie automobile cherchent à réglementer l'ensemble de la chaîne d'approvisionnement des équipementiers, qu'ils considèrent tous comme des points d'entrée dans l'électronique du véhicule.
Aux États-Unis, la Food and Drug Administration a rappelé 500000 pacemakers en raison du risque de piratage qu'ils présentaient, comme l'ont démontré des chercheurs.
Mais la valeur des produits intelligents réside dans leur connectivité. Les babyphones intelligents permettent aux parents de prendre des nouvelles de leurs enfants où qu'ils se trouvent ; les produits à anneaux permettent aux propriétaires d'interagir avec les visiteurs et de surveiller leur maison à distance ; et les stimulateurs cardiaques connectés partagent des données vitales avec les équipes médicales.
En tant que première génération dotée de la technologie de l'IoT et de solutions intelligentes, la société d'aujourd'hui a la responsabilité de tirer des leçons qui font réfléchir. Cela implique notamment de tirer les leçons des attaques de cybersécurité et de donner la priorité à des stratégies de chiffrement cohérentes et unifiées qui protègent l'ensemble de l'industrie 4.0.
Le Cryptage “by Design”
Dans un monde où la sûreté et la sécurité reposent sur la prise de décision des machines, la cryptographie confère à l'équipement une couche de sécurité essentielle. Dans les grandes entreprises qui innovent rapidement, il est courant que chaque équipe élabore ses propres politiques et pratiques de cryptage, ce qui laisse des lacunes et des redondances en matière de cybersécurité.
En se tournant vers les solutions du marché, les entreprises ont besoin de systèmes de gestion des clés de chiffrement (KMS) qui renforcent et unifient leurs pratiques existantes. Pour ce faire, les fournisseurs de KMS doivent s'intégrer aux systèmes existants de l'entité en offrant une solution indépendante du matériel, des options de déploiement personnalisables, des conseils d'experts en matière de déploiement
En cas de longues chaînes d'approvisionnement ou de grandes empreintes, les fournisseurs doivent également garantir un cryptage de bout en bout pour sécuriser les données tout au long du processus de fabrication.
Keys&More, la solution KMS unifiée d’Incert
Sous la surface, les appareils sont constamment à l'œuvre, transférant des données et accordant des permissions presque instantanément, le tout sans intervention humaine et à l'insu des utilisateurs. La bonne solution KMS garantit que ces appareils prennent les bonnes décisions.
Alors que l'IoT a connu des vagues de popularité depuis sa création il y a 25 ans, son influence ne cesse de croître. La société va devenir de plus en plus dépendante de la discrétion des appareils, en particulier avec l'essor des villes intelligentes et de la conduite automatisée. Le chiffrement permet de contrôler les interactions et les décisions des appareils sans intervention humaine directe.
À l'avenir, nous nous attendons à ce que les stratégies de gestion des clés de chiffrement des fabricants quittent la périphérie et s'intègrent au cœur de l'activité. La sécurité de l'ensemble des chaînes de production et d'approvisionnement dépend de la gestion des clés de chiffrement de chaque partenaire.
Incert est un GIE lancé par le gouvernement du Luxembourg en 2012 en tant que partenaire de services numériques publics axés sur le déploiement et le management d’infrastructures informatiques critiques et la vérification des signatures numériques, notamment dans les passeports. Incert a rapidement commencé à proposer des services de conseil pour des gouvernements étrangers sur les thèmes des infrastructures à clé publique, la gestion des identités, les normes et standards ainsi que sur la gouvernance des risques cyber. Offrant un écosystème complet de services et de solutions, les projets des secteurs public et privé d'Incert couvrent le monde entier. Avec plus d'une décennie d'expérience, Incert a développé sa propre solution KMS unifiée : Keys&More.
